Czy należy bać się RODO

Będzie ono stosowane bezpośrednio we wszystkich państwach członkowskich od 25 maja 2018 r. Zważywszy na charakter zmian, to tylko pozornie odległy termin. 

Reforma przepisów dotyczących ochrony danych osobowych była konieczna i długo wyczekiwana. Dotychczasowe regulacje sprzed ery Facebooka i Google’a nie przystawały do technologicznej rzeczywistości, co skutkowało frustracją przedsiębiorców oraz brakiem zaufania obywateli do istniejących mechanizmów ochrony prywatności. Dyrektywa 95/46/WE z 1995 r. i kolejnych 28 aktów prawnych wdrażających ją w poszczególnych państwach członkowskich (w tym polska ustawa z 1997 r.) wprowadzały duże wyzwania zwłaszcza dla podmiotów działających transgranicznie. 

Szczególny dyskomfort u przedstawicieli biznesu powodowały odmienne decyzje regulatorów w różnych państwach członkowskich i różne wymogi w zakresie bezpieczeństwa na terenie UE dla takich samych usług online lub aplikacji mobilnych. Poza tym w wielu przypadkach dotychczasowe rozwiązania były przestarzałe (np. wymóg pisemnej zgody). Dlatego wprowadzenie jednej nowoczesnej regulacji obowiązującej we wszystkich państwach członkowskich daje nowe nadzieje dla biznesu. RODO daje też nadzieję obywatelom – realnej, jednolitej ochrony ich praw i wolności w UE. Na straży ochrony stać będzie widmo surowych kar pieniężnych za naruszenie przepisów RODO. 

Budowa zaufania do rynku cyfrowego

Idea RODO zakłada, że akt ten ma zagwarantować podmiotom gospodarczym pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań podmiotów przetwarzających ich dane. RODO stawia na zbudowanie zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym UE. 

W celu zapewnienia spójnego monitorowania i egzekwowania RODO w całej UE organy nadzorcze (w Polsce – GIODO) będą miały te same zadania i uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, uprawnienia naprawcze, uprawnienia do nakładania administracyjnych kar pieniężnych. 

Twórcy RODO założyli, że aby egzekwowanie przepisów było skuteczniejsze, należy za jego naruszenie nakładać surowe sankcje. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby nieproporcjonalne obciążenie dla osoby fizycznej, można zamiast tego udzielić upomnienia. 

Kary pieniężne

Zgodnie z RODO każdy organ nadzorczy jest uprawniony do nakładania administracyjnych kar pieniężnych. Dotychczas polski organ nie miał takich uprawnień (poza możliwością wymierzenia grzywny w celu przymuszenia wykonania decyzji). Kary pieniężne będą mogły być nakładane oprócz lub zamiast innych środków stosowanych w ramach uprawnień naprawczych (np. ostrzeżeń, upomnień, decyzji nakazujących lub zakazujących określonych działań, w tym zakaz przetwarzania danych, nakaz zawieszenia przepływu danych). 

Zgodnie z wytycznymi RODO dla organów nadzoru kary pieniężne mają być w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Naruszenie przepisów RODO może podlegać karze w wysokości do 20 mln euro, a dla przedsiębiorców – do 4 proc. światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego. Taka kara zaboli nawet największych graczy na rynku. Dotychczasowe kary wymierzane przez wybrane organy nadzoru w państwach członkowskich nie osiągały pułapu 1 mln euro. 

Jednym z głównych założeń RODO była skuteczność egzekwowania obowiązków związanych z ochroną danych, dlatego tuż po 25 maja 2018 r. można spodziewać się pierwszych kar dla niepokornych – dla przykładu i ku przestrodze. Czasu jest coraz mniej. 

Odszkodowania. Utrata reputacji. Utrata zysków

Widmo administracyjnych kar pieniężnych to nie koniec możliwych dolegliwości finansowych. Zgodnie z RODO za szkodę, którą poniosła osoba fizyczna wskutek przetwarzania danych w sposób naruszający RODO, przysługuje odszkodowanie od administratora danych lub podmiotu przetwarzającego. Podmioty te zostaną zwolnione z odpowiedzialności, jeśli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Nawet jednorazowe naruszenie ochrony danych osobowych może doprowadzić do dalszych strat finansowych, których nie sposób z góry skalkulować. Zwykle przedsiębiorcy najlepiej poznają wartość danych w sytuacji, kiedy dojdzie do ich wycieku. Straty, w tym wizerunkowe, mogą poważnie zaszkodzić prowadzeniu biznesu. Dlatego rosnące w ostatnim czasie zainteresowanie tematem ochrony danych osobowych jest bardzo korzystne. Zwiększona świadomość zagrożeń (nie tylko tych prawnych) i odpowiedzialności może przyczynić się do uniknięcia kosztownego „incydentu bezpieczeństwa”.